324 meneos

Explorer revela datos de acceso a servidores FTP

www.kriptopolis.org/explorer-revela-datos-ftp
por mezvan el 14-08-2007 19:34 UTC publicado el 15-08-2007 10:50 UTC

[c&p] El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP. Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer.

etiquetas: explorer , datos, acceso , servidores, ftp

negativos: 0 usuarios: 177 anónimos: 147

compartir:

31 comentarios tecnología, seguridad karma: 919

#1 pues leyendo el articulo he hecho una busqueda en un serbidor webs con unos cuantos cientos de webs al que tengo acceso y no pone el usuario y clave por ningun sitio...

6 votos: 0

el 14-08-2007 20:12 UTC por Bad_CRC
#2 #1 Pues vas a tener que aprender a buscar mejor:

"Una búsqueda rápida devuelve 30 millones de resultados y de los 50 primeros la mitad están con el culo al aire."

sigt.net/archivo/internet-explorer-pone-en-bandeja-los-datos-ftp.xhtml

21 votos: 2

el 14-08-2007 20:19 UTC por Bandit
#3 fgrep 'saved from url' asterisco/asterisco ...

si que sale ese texto pero nunca el usuario y la clave

será que mis clientes no lo usan

6 votos: 0

el 14-08-2007 20:39 UTC por Bad_CRC
#4 » ver comentario

el 15-08-2007 01:32 UTC por JarFil
#5 Orale, sera posible que a los programadores de IE se les haya pasado algo tan grave como eso?

17 votos: 1

el 15-08-2007 04:05 UTC por neoz
#6 #4, ¿Y 200 equipos vulnerables te parecen pocos?

8 votos: 2

el 15-08-2007 10:52 UTC por elverdezlomejor
#7 #5 evidentemente, quin ha hecho es truño no merece ser llamado 'programador'

12 votos: 1

el 15-08-2007 10:53 UTC por ccpp
#8 Ah, ¿Pero alguien usa aún el explorer?

40 votos: 4

el 15-08-2007 11:11 UTC por raze
#9 No, el problema es quién sepa que ese truño existe y no lo solucione

6 votos: 0

el 15-08-2007 11:13 UTC por Asceta
#10 » ver comentario

el 15-08-2007 11:18 UTC por --9762--
#11 Google no debería tomar en cuenta el contenido de un comentario de html. Es de cajon.

8 votos: 0

el 15-08-2007 11:20 UTC por --4937--
#12 #10, pr0n. Se ve que los programadores de Microsoft andaban necesitados y vieron en esa feature un filón para buscar pr0n comprometido.

6 votos: 0

el 15-08-2007 11:20 UTC por elverdezlomejor
#13 #11, el que Google tome en cuenta el contenido de los comentarios es lo que ha provocado que se vaya a solucionar este problema.

31 votos: 2

el 15-08-2007 11:30 UTC por --14336--
#14 #10 y #12 Y si le interesa alguna pagina web que hablan mal de Microsoft?, así no tiene que pedir que eliminen los contenidos... la borra directamente! Sensura Sensura!

6 votos: 0

el 15-08-2007 11:30 UTC por --14204--
#15 » ver comentario

el 15-08-2007 11:33 UTC por --11824--
#16 relacionada:
meneame.net/story/error-muy-grave-de-google

Moraleja: si quieres usar el navegador para acceder a tu ftp privado, operarte los ojos con un laser de bolsillo o secarte el pelo con secador mientras te das un baño... es cosa tuya.

12 votos: 1

el 15-08-2007 11:46 UTC por malapersona
#17 La realidad siempre supera la ficción. Ahora sólo falta que el Frontpage incluya la contraseña del Windows.

29 votos: 2

el 15-08-2007 11:47 UTC por benjami
#18 » ver comentario

el 15-08-2007 11:51 UTC por --14103--
#19 Si hace lo mismo con los ficheros binarios...

De todas formas como me picaba la curiosidad he buscado en google: saved from +url ftp://name, y me devuelve 352 resultados, he mirado el código fuente de las 20 primeras páginas y no he encontrado la cadena con el usuario y la contraseña, solo aparecía en una, pero era al explicar el bug.

En fin, no sabre buscar, o google no lo muestra, o...

6 votos: 0

el 15-08-2007 11:59 UTC por Otario
#20 #19 haz esta búsqueda:
"saved from url" "ftp://"

A mí me aparece una web comprometida por este asunto en la primera página de resultados.

¿Una empresa afectada por este error y que vea comprimetidos sus datos puede perdirle responsabilidades a Microsoft por esto?

14 votos: 1

el 15-08-2007 12:10 UTC por nflamel
#21 » ver comentario

el 15-08-2007 12:21 UTC por --9762--
#22 debo ser muy torpe pero buscando

"saved from url" "ftp://"

no he podido entrar en ningun sitio

snif,snif...

8 votos: 2

el 15-08-2007 12:50 UTC por pronetpc.com
#23 La explicación que dan en Microsoft es la risa. «Es que no esperábamos que nadie lo usara».

7 votos: 0

el 15-08-2007 13:21 UTC por Arlequin
#24 Pues yo sí, será que no buscas bien

6 votos: 0

el 15-08-2007 13:25 UTC por Asceta
#25 Yo también he encontrado bastantes sitios vulnerables, con user y pass. La cadena usada para buscar en google es:

"<!– saved from url=("+")ftp://"+":"+"@"+" –>" -contraseña -password

Añado los dos últimos para no encontrarnos con las webs que anuncian este fallo.

13 votos: 1

el 15-08-2007 13:50 UTC por dinky
#26 #1 Cientos de webs y no has aprendido a escribir servidores...
buscon.rae.es/draeI/SrvltGUIBusUsual?TIPO_HTML=2&TIPO_BUS=3&LE

5 votos: 0

el 15-08-2007 14:52 UTC por _conejo
#27 Yo si he podido entrar en alguna web y la verdad es que este bug es muy peligroso, quedan al descubierto incluso datos personales, numeros de tarjeta, todo... Ya he avisado a los administradores pero es una vergüenza que existan bugs así.

6 votos: 0

el 15-08-2007 17:03 UTC por Pyroflash
#28 » ver comentario

el 15-08-2007 18:08 UTC por --38543--
#29 El error es patético pero el usar el IE como cliente FTP también es un poco patético.

Lo que no me explico es por qué grava el IE el usuario y la contraseña en el código.

0 votos: 1

el 15-08-2007 19:27 UTC por kadmon
#30 #25 Menos mal, creía que yo era el único que sabía buscar en google

7 votos: 0

el 15-08-2007 22:19 UTC por rasca
#31 #30 baja modesto...

7 votos: 0

el 15-08-2007 22:24 UTC por kadmon